Zum Hauptinhalt springen

Migration von On-Premises RADIUS (NPS) zu RADIUS-as-a-Service

Dieser maßgebliche Leitfaden beschreibt die technische Architektur, die Implementierungsmethodik und die geschäftlichen Auswirkungen der Migration von einem lokalen Microsoft Network Policy Server (NPS) zu einem Cloud-nativen RADIUS-as-a-Service-Modell. Er bietet IT-Leitern und Netzwerkarchitekten praktische Rahmenbedingungen, um den operativen Aufwand zu reduzieren, Single Points of Failure zu eliminieren und die Authentifizierung in Unternehmen über verteilte Standorte hinweg zu sichern.

📖 5 Min. Lesezeit📝 1,066 Wörter🔧 2 ausgearbeitete Beispiele3 Übungsfragen📚 8 Schlüsseldefinitionen

Diesen Leitfaden anhören

Podcast-Transkript ansehen
PODCAST-SKRIPT: Migration von On-Premises RADIUS (NPS) zu RADIUS-as-a-Service Dauer: ~10 Minuten | Stimme: Britisches Englisch, männlich, Tonfall eines Senior Consultants --- SEGMENT 1: EINFÜHRUNG UND KONTEXT Willkommen zur technischen Briefing-Reihe von Purple WiFi. Heute befassen wir uns mit einer Migration, die derzeit auf der Roadmap einer beträchtlichen Anzahl von Enterprise-IT-Teams steht: dem Wechsel von On-Premises RADIUS - konkret Microsofts Network Policy Server - hin zu einem Cloud-basierten RADIUS-as-a-Service-Modell. Wenn Sie die WiFi-Authentifizierung in einer Hotelgruppe, einem Einzelhandelsnetzwerk, einem Stadion oder einem Campus im öffentlichen Sektor verwalten, ist dies für Sie von direkter Relevanz. Das On-Premises NPS-Modell hat uns fast zwei Jahrzehnte lang gute Dienste geleistet, aber der betriebliche Overhead, das Risiko eines Single-Point-of-Failure und die Skalierungsbeschränkungen sind immer schwerer zu rechtfertigen - insbesondere, da Cloud-native Alternativen mittlerweile Zuverlässigkeit auf Enterprise-Niveau zu einem Bruchteil der Gesamtbetriebskosten bieten. In den nächsten zehn Minuten werden wir die technische Architektur beider Ansätze behandeln, eine strukturierte Migrationsmethodik durchgehen, uns zwei reale Implementierungsszenarien ansehen und mit den wichtigsten Entscheidungsrahmen abschließen, die Sie benötigen, um diese Entscheidung selbstbewusst zu treffen. Lassen Sie uns direkt einsteigen. --- SEGMENT 2: TECHNISCHER DEEP-DIVE Stellen wir zunächst sicher, dass wir die gleiche Vorstellung davon haben, was RADIUS eigentlich in Ihrem Netzwerk-Stack tut. RADIUS - Remote Authentication Dial-In User Service - ist das in RFC 2865 definierte Protokoll, das Authentifizierung, Autorisierung und Accounting für den Netzwerkzugriff verwaltet. In einem WiFi-Kontext ist es das Rückgrat der portbasierten Zugriffskontrolle nach IEEE 802.1X. Wenn sich ein Gerät mit einer WPA2-Enterprise- oder WPA3-Enterprise-SSID verbindet, fungiert der Access Point als RADIUS-Client - den wir als Network Access Server bezeichnen - und leitet die Authentifizierungsanfrage an den RADIUS-Server weiter. Der Server validiert die Anmeldedaten, in der Regel gegen Active Directory oder ein LDAP-Verzeichnis, und gibt eine Access-Accept- oder Access-Reject-Antwort zurück. Das ist der grundlegende Ablauf. Beim On-Premises-NPS-Modell - Network Policy Server ist die RADIUS-Implementierung von Microsoft, die im Paket mit Windows Server geliefert wird - führen Sie diese Authentifizierungslogik auf eigener Hardware in einem von Ihnen betriebenen Rechenzentrum oder Serverraum aus. Der NPS-Server enthält Ihre Netzwerkrichtlinien, Ihre Zertifikatsinfrastruktur für EAP-TLS oder PEAP-MSCHAPv2 sowie Ihre Verbindungsanforderungsrichtlinien. Es funktioniert. Es ist ausgereift. Aber es bringt eine Reihe von betrieblichen Realitäten mit sich, die sich im Laufe der Zeit summieren. Die erste ist die Hardware-Abhängigkeit. Ihr NPS-Server ist eine physische oder virtuelle Maschine, die Patching, Kapazitätsplanung und letztendlich einen Hardware-Austausch erfordert. Bei einer Bereitstellung an mehreren Standorten - beispielsweise einer Hotelgruppe mit Häusern in ganz Großbritannien - betreiben Sie entweder ein zentralisiertes NPS mit WAN-Abhängigkeit oder Sie stellen an jedem Standort NPS-Instanzen bereit und verwalten diese einzeln. Beides ist nicht elegant. Der zweite Aspekt ist die Verfügbarkeit. Eine einzelne NPS-Instanz stellt einen Single Point of Failure für Ihre gesamte Authentifizierungsinfrastruktur dar. Natürlich können Sie NPS in einem Failover-Paar bereitstellen, aber das verdoppelt Ihren Hardware- und Lizenzierungsaufwand - und bietet Ihnen dennoch nicht die geografische Redundanz, die ein Cloud-Service von Haus aus bietet. Der dritte Aspekt ist die Skalierbarkeit. NPS wurde für Unternehmens-LAN-Umgebungen entwickelt. Wenn Sie während einer Stadionveranstaltung oder einer Auslastungsspitze in einem Konferenzzentrum Tausende von gleichzeitigen Authentifizierungsanfragen verarbeiten müssen, werden die Durchsatzgrenzen einer einzelnen NPS-Instanz sehr schnell deutlich. Die Authentifizierungslatenz steigt sprunghaft an und Benutzer erleben Verbindungsfehler genau in dem Moment, in dem Sie es sich am wenigsten leisten können. RADIUS-as-a-Service behebt alle drei dieser Einschränkungen auf architektonischer Ebene. Der Cloud-RADIUS-Anbieter betreibt ein verteiltes, georedundantes Cluster von RADIUS-Servern. Ihre Access Points verweisen auf in der Cloud gehostete RADIUS-Endpunkte und nicht auf einen Server vor Ort. Authentifizierungsanfragen werden über das Cluster hinweg lastverteilt, und das Failover erfolgt automatisch und transparent. Der Anbieter kümmert sich um das Einspielen von Patches, die Kapazitätsskalierung und die Zertifikatsverwaltung. Aus Ihrer Sicht als Netzwerkbetreiber wird RADIUS zu einem genutzten Service statt zu einer verwalteten Komponente. Die Authentifizierungsprotokolle selbst ändern sich nicht. Sie führen weiterhin 802.1X mit EAP-TLS, PEAP-MSCHAPv2 oder EAP-TTLS aus, je nachdem, welche Client-Geräte Sie nutzen. Der Unterschied liegt darin, wo der RADIUS-Server betrieben wird und wer für dessen Betriebskontinuität verantwortlich ist. Es gibt hier einen wichtigen Sicherheitsaspekt, den ich direkt ansprechen möchte, da er in fast jedem Kundengespräch zur Sprache kommt. Die Verlagerung von RADIUS in die Cloud bedeutet, dass Ihr Authentifizierungsverkehr das öffentliche Internet durchquert, um den Cloud-RADIUS-Endpunkt zu erreichen. Dies wird durch zwei Mechanismen entschärft. Erstens wird der RADIUS-Verkehr zwischen dem Network Access Server und dem RADIUS-Server über ein Shared Secret und MD5-basierte Nachrichtenauthentifizierung geschützt. Zweitens, und das ist für moderne Bereitstellungen noch wichtiger, sollten Sie RadSec nutzen - RADIUS über TLS, definiert in RFC 6614 - was die gesamte RADIUS-Kommunikation in einen TLS-Tunnel verpackt. Dies bietet Ihnen eine Verschlüsselung auf Transportebene, die mit HTTPS vergleichbar ist, wodurch die MD5-Schwachstelle beseitigt und eine gegenseitige Authentifizierung zwischen dem NAS und dem RADIUS-Server gewährleistet wird. Jeder Cloud-RADIUS-Anbieter, der in Frage kommt, sollte RadSec standardmäßig unterstützen. Auf der Seite der Identitätsintegration unterstützen Cloud-RADIUS-Dienste in der Regel LDAP- und LDAPS-Verbindungen zurück zu Ihrem lokalen Active Directory oder eine native Integration mit Azure Active Directory und Microsoft Entra ID über SAML oder SCIM. Das bedeutet, dass Sie Ihr Benutzerverzeichnis nicht migrieren müssen - der Cloud-RADIUS-Dienst fragt Ihren vorhandenen Identitätsspeicher ab und behält Ihre bestehenden Prozesse für das Benutzer-Lifecycle-Management bei. Für compliance-bewusste Unternehmen - und das schließt jeden ein, der Zahlungskartendaten unter PCI-DSS oder personenbezogene Daten unter GDPR verarbeitet - bieten Cloud-RADIUS-Anbieter, die nach SOC 2 Typ II zertifiziert und nach ISO 27001 akkreditiert sind, eine stärkere Compliance-Position, als die meisten Unternehmen mit einer selbstverwalteten NPS-Infrastruktur erreichen können. --- SEGMENT 3: EMPFEHLUNGEN FÜR DIE IMPLEMENTIERUNG UND STOLPERSTEINE Lassen Sie uns nun darüber sprechen, wie Sie diese Migration tatsächlich durchführen, ohne Ihre Authentifizierungsinfrastruktur offline zu nehmen. Die von mir empfohlene Methodik ist ein Fünf-Phasen-Ansatz. Phase eins ist die Prüfung und Inventarisierung. Dokumentieren Sie jeden RADIUS-Client - jeden Access Point, jeden Switch, jeden VPN-Konzentrator - zusammen mit dem aktuellen Shared Secret, der verwendeten EAP-Methode und allen herstellerspezifischen Attributen in Ihren NPS-Richtlinien. Dies ist die unglamouröse Arbeit, aber das Überspringen dieser Phase ist die Hauptursache für das Scheitern von Migrationen. Phase zwei ist die Pilotbereitstellung. Richten Sie Ihre Cloud-RADIUS-Instanz ein und weisen Sie ihr eine Nicht-Produktions-SSID oder eine einzelne Testumgebung zu. Überprüfen Sie, ob Ihre EAP-Methode durchgängig funktioniert, ob Ihre Identitätsintegration aktiv ist und ob Ihre Accounting-Daten korrekt fließen. Phase drei ist der Parallelbetrieb. Dies ist der entscheidende Schritt zur Risikominderung. Konfigurieren Sie Ihre Access Points sowohl mit dem lokalen NPS-Server als auch mit dem Cloud-RADIUS-Server als Authentifizierungsziele, wobei der Cloud-Dienst als primäres Ziel und NPS als Fallback dient. Führen Sie diese Konfiguration mindestens zwei Wochen lang über einen vollständigen Geschäftszyklus hinweg aus. Überwachen Sie die Erfolgsraten der Authentifizierung, die Latenzzeit und etwaige Abweichungen bei den Richtlinien. Phase vier ist die Umstellung. Entfernen Sie die NPS-Fallback-Konfiguration und legen Sie Cloud RADIUS als Ihre einzige Authentifizierungsinfrastruktur fest. Führen Sie dies während eines geplanten Wartungsfensters durch, und halten Sie ein dokumentiertes und getestetes Rollback-Verfahren bereit. Phase fünf ist die Außerbetriebnahme. Sobald Sie einen stabilen Betrieb über dreißig Tage nach der Umstellung nachgewiesen haben, nehmen Sie die NPS-Server außer Betrieb und fordern Sie die Hardware- oder VM-Ressourcen zurück. Die Stolpersteine, die ich am häufigsten sehe, sind: Probleme mit der Vertrauenskette von Zertifikaten - insbesondere Client-Geräte, die dem Zertifikat des Cloud-RADIUS-Servers nicht vertrauen, weil sich die CA nicht in ihrem vertrauenswürdigen Speicher befindet. Beheben Sie dies vor der Umstellung über Ihr MDM oder Ihre Gruppenrichtlinien. Der zweite häufige Stolperstein sind Firewall-Regeln. Cloud RADIUS erfordert ausgehenden Datenverkehr über UDP 1812 und 1813 von Ihren Access Points zu den Cloud-Endpunkten oder TCP 2083 für RadSec. Stellen Sie sicher, dass Ihr Netzwerk-Perimeter diesen Datenverkehr zulässt. Drittens: die Komplexität des Shared Secret. Wenn Ihre bestehenden NPS Shared Secrets schwach sind, nutzen Sie die Migration als Gelegenheit, auf kryptografisch starke Secrets umzustellen, oder wechseln Sie am besten gleich zu RadSec, um Shared Secrets ganz zu eliminieren. --- SEGMENT 4: SCHNELLE FRAGEN & ANTWORTEN Lassen Sie mich die Fragen durchgehen, die mir zu diesem Thema am häufigsten gestellt werden. Können wir unser Active Directory lokal behalten? Ja, absolut. Cloud RADIUS verbindet sich mit Ihrem lokalen AD über LDAPS. Ihr Verzeichnis bleibt genau dort, wo es ist. Was passiert, wenn unsere Internetverbindung ausfällt? Dies ist die entscheidende Veränderung bei den Abhängigkeiten. Mit Cloud RADIUS wird die Internetverbindung zu einer Voraussetzung für die Authentifizierung. Mindern Sie dieses Risiko durch redundante WAN-Verbindungen oder einen lokalen RADIUS-Proxy, der die Authentifizierung für bekannte Geräte bei Ausfällen zwischenspeichert. Beeinflusst dies unsere PCI-DSS-Compliance? Der Wechsel zu einem zertifizierten Cloud RADIUS-Anbieter verbessert in der Regel Ihre Compliance-Situation. Stellen Sie sicher, dass Ihr Anbieter SOC 2 Type II-Berichte bereitstellen kann und in Ihren jährlichen QSA-Audit-Umfang einbezogen ist. Wie lange dauert eine vollständige Migration? Für einen einzelnen Standort zwei bis vier Wochen. Für ein Filialnetz mit fünfzig oder mehr Standorten sollten Sie drei bis sechs Monate für einen schrittweisen Rollout einplanen. - - - SEGMENT 5: ZUSAMMENFASSUNG UND NÄCHSTE SCHRITTE Zusammenfassend lässt sich sagen: Die Argumente für eine Migration von On-Premises-NPS zu RADIUS-as-a-Service sind aus operativer, finanzieller und Compliance-Sicht überzeugend. Die Migration selbst ist risikoarm, wenn sie mit einer strukturierten parallelen Testphase durchgeführt wird. Die wichtigsten technischen Entscheidungen betreffen die Auswahl Ihrer EAP-Methode, Ihren Ansatz zur Identitätsintegration und die Frage, ob Sie RadSec für die Transportsicherheit implementieren - was ich für jede neue Bereitstellung dringend empfehlen würde. Ihre unmittelbaren nächsten Schritte: Führen Sie ein Audit Ihrer aktuellen RADIUS-Clients und -Richtlinien durch, binden Sie Ihren Cloud RADIUS-Anbieter für eine Pilotumgebung ein und überprüfen Sie Ihre Firewall-Regeln und Zertifikatsvertrauensketten, bevor Sie beginnen. Für Unternehmen, die die Plattform für den Gäste-Zugang von Purple WiFi nutzen, lässt sich die RADIUS-as-a-Service-Funktion direkt in den Authentifizierungsfluss für das Gäste-WiFi integrieren. Dies bietet Ihnen eine einzige Steuerungsebene sowohl für die 802.1X-Authentifizierung des Unternehmens als auch für die Verwaltung des Gäste-Netzwerkzugangs - inklusive integrierter Analysen und Compliance-Berichte. Vielen Dank fürs Zuhören. Der vollständige technische Leitfaden ist auf der Purple-Website verfügbar, und unser Solutions-Team steht Ihnen für ein Sondierungsgespräch zur Verfügung, wenn Sie den nächsten Schritt gehen möchten. - - - ENDE DES SKRIPTS

header_image.png

Management-Zusammenfassung

Seit fast zwei Jahrzehnten ist der Network Policy Server (NPS) von Microsoft die Standard-RADIUS-Implementierung für Unternehmensnetzwerke. Da Betreiber jedoch über verteilte Standorte hinweg skalieren - von Einzelhandelsketten bis hin zu globalen Hotelgruppen -, ist der betriebliche Aufwand für die Verwaltung einer On-Premises-Authentifizierungsinfrastruktur zu einer erheblichen Belastung geworden.

Die Migration zu RADIUS-as-a-Service transformiert die Authentifizierung von einer verwalteten Hardwarekomponente in einen genutzten Cloud-Service. Dieser architektonische Wandel eliminiert die Single Points of Failure, die mit eigenständigen NPS-Bereitstellungen einhergehen, macht Hardware-Aktualisierungszyklen überflüssig und bietet die elastische Skalierbarkeit, die für Umgebungen mit hoher Dichte wie Stadien und Konferenzzentren erforderlich ist. Für IT-Manager und Netzwerkarchitekten bietet dieser Leitfaden eine herstellerneutrale, strukturierte Methodik für die Migration der 802.1X-Authentifizierung in die Cloud, ohne den Produktionsverkehr zu beeinträchtigen, während gleichzeitig die Compliance mit PCI-DSS und GDPR gewährleistet und die OpEx für die Authentifizierungsinfrastruktur um bis zu 80 % gesenkt werden.

Technischer Deep-Dive: Architektur und Standards

Um diese Migration zu verstehen, müssen wir zunächst den architektonischen Wandel bei der Bereitstellung der portbasierten Zugriffskontrolle nach IEEE 802.1X untersuchen.

Die Einschränkungen von On-Premises NPS

In einer traditionellen Bereitstellung fungiert der Access Point als Network Access Server (NAS) und leitet Authentifizierungsanfragen an einen lokalen NPS-Server weiter. Der NPS-Server wertet Verbindungsanforderungsrichtlinien aus, validiert Anmeldeinformationen im Identitätsspeicher (in der Regel Active Directory über LDAP) und gibt eine Access-Accept- oder Access-Reject-Nachricht zurück.

Dieses Modell weist drei kritische Einschränkungen für moderne Netzwerke auf:

  1. Hardwareabhängigkeit und Wartung: NPS erfordert dedizierte physische oder virtuelle Maschinen, was kontinuierliches Patching, Kapazitätsplanung und Lifecycle-Management erfordert.
  2. Komplexität der Hochverfügbarkeit: Um Redundanz zu erreichen, müssen NPS-Instanzen in Failover-Paaren bereitgestellt werden, was die Lizenzkosten verdoppelt, ohne eine echte geografische Redundanz zu bieten.
  3. Engpässe beim Durchsatz: Bei Spitzenbelastungen (wie dem Einlass im Stadion oder den Hauptgeschäftszeiten im Einzelhandel) kann eine einzelne NPS-Instanz zum Engpass werden, was zu Authentifizierungs-Timeouts und einer schlechteren Benutzererfahrung führt.

Cloud RADIUS Architektur

RADIUS-as-a-Service abstrahiert die Authentifizierungsschicht. Der Cloud-Anbieter betreibt verteilte, geografisch redundante Cluster von RADIUS-Servern. Der NAS verweist auf diese Cloud-Endpunkte, und die Anfragen werden automatisch per Load Balancing verteilt.

architecture_comparison.png

Transportsicherheit: Die Rolle von RadSec Wenn RADIUS in die Cloud verlagert wird, läuft der Authentifizierungsverkehr über das öffentliche Internet. Während das herkömmliche RADIUS auf Shared Secrets und MD5-Hashing setzt, müssen moderne Implementierungen RadSec (RADIUS über TLS, RFC 6614) implementieren. RadSec kapselt die gesamte RADIUS-Kommunikation in einem TLS-Tunnel (normalerweise TCP-Port 2083) und bietet eine Transportverschlüsselung, die HTTPS entspricht, sowie eine gegenseitige Authentifizierung zwischen dem NAS und dem Cloud RADIUS-Endpunkt.

Identitätsintegration Cloud RADIUS erfordert keine Migration Ihres Benutzerverzeichnisses. Die Dienste unterstützen in der Regel LDAPS-Verbindungen zurück zum lokalen Active Directory oder eine native API-Integration mit Azure Active Directory (Entra ID) über SAML oder SCIM. Dadurch wird sichergestellt, dass Ihre bestehenden Prozesse für das Benutzer-Lifecycle-Management unverändert bleiben.

Für Standorte, die eine Guest WiFi -Plattform nutzen, lässt sich Cloud RADIUS direkt integrieren. Dies bietet eine einheitliche Steuerungsebene für die 802.1X-Authentifizierung in Unternehmen sowie für den Gastnetzwerkzugriff, komplett mit fortschrittlicher WiFi Analytics .

Implementierungsleitfaden: Die 5-Phasen-Methodik

Um die Migration ohne Dienstunterbrechung durchzuführen, ist ein strukturierter, phasenweiser Ansatz erforderlich.

migration_checklist.png

Phase 1: Audit und Inventarisierung

Dokumentieren Sie den aktuellen Zustand, bevor Sie Änderungen vornehmen:

  • RADIUS-Clients: Identifizieren Sie jedes NAS (Wireless Access Points, Switches, VPN-Konzentratoren).
  • Richtlinien: Dokumentieren Sie bestehende NPS-Verbindungsanforderungen und Netzwerkrichtlinien, einschließlich herstellerspezifischer Attribute (VSAs), die für die VLAN-Zuweisung verwendet werden.
  • EAP-Methoden: Identifizieren Sie, welche Extensible Authentication Protocol-Methoden verwendet werden (z. B. EAP-TLS, PEAP-MSCHAPv2).

Phase 2: Pilotbereitstellung

Stellen Sie die Cloud RADIUS-Instanz bereit und konfigurieren Sie eine Nicht-Produktions-SSID oder einen einzelnen Teststandort. Validieren Sie die Integration des Identitätsverzeichnisses (z. B. Entra ID-Synchronisierung) und bestätigen Sie, dass die EAP-Methoden durchgängig korrekt funktionieren.

Phase 3: Parallelbetrieb (Risikominderung)

Konfigurieren Sie Produktions-NAS-Geräte so, dass sie sowohl die Cloud RADIUS-Server (primär) als auch die alten NPS-Server (Backup) gleichzeitig verwenden. Behalten Sie diese Konfiguration mindestens zwei Wochen lang bei. Überwachen Sie die Erfolgsraten der Authentifizierung, Latenzmetriken und Abrechnungsdatenflüsse, um etwaige Richtlinienabweichungen vor der Umstellung zu erkennen.

Phase 4: Umstellung

Entfernen Sie während eines geplanten Wartungsfensters die alte NPS-Backup-Konfiguration von den NAS-Geräten. Gehen Sie vollständig auf die Cloud-Infrastruktur über. Stellen Sie sicher, dass Ihr Rollback-Verfahren dokumentiert und getestet ist.

Phase 5: Außerbetriebnahme

Nach 30 Tagen stabilem Betrieb nehmen Sie die alten NPS-Server sicher außer Betrieb und fordern die Compute-Ressourcen zurück.

Best Practices und Compliance

Halten Sie sich bei der Entwicklung Ihrer Cloud RADIUS-Architektur an die folgenden Standards:

  • RadSec vorschreiben: Wenn Ihre NAS-Hardware RadSec (TCP 2083) unterstützt, senden Sie RADIUS-Datenverkehr niemals über das öffentliche Internet mit Standard-UDP 1812/1813.
  • Zertifikatsvertrauenskette: Stellen Sie sicher, dass Client-Geräte der Zertifizierungsstelle (CA) vertrauen, die die Cloud-RADIUS-Serverzertifikate ausstellt. Verteilten Sie die Root-CA vor der Migration über MDM oder Gruppenrichtlinien auf verwaltete Geräte.
  • Compliance-Status: Wählen Sie einen Cloud-RADIUS-Anbieter, der eine SOC 2 Type II-Bescheinigung und eine ISO 27001-Zertifizierung vorweisen kann. Dies vereinfacht Ihre jährlichen PCI-DSS-Bewertungen erheblich, insbesondere für Einzelhandels- und Gastronomieumgebungen .

Für allgemeinere Prinzipien des Netzwerkdesigns lesen Sie unsere Leitfäden: WiFi für Unternehmen einrichten: Ein Leitfaden für 2026 und Verständnis von RSSI und Signalstärke für eine optimale Kanalplanung .

Fehlerbehebung und Risikominderung

Fehlerart Ursache Minderungsstrategie
Authentifizierungs-Timeouts Firewall blockiert ausgehenden UDP-Datenverkehr 1812/1813 oder TCP 2083. Überprüfen Sie, ob die Perimeter-Firewall-Regeln ausgehenden Datenverkehr zu den spezifischen IP-Bereichen des Cloud-RADIUS-Anbieters zulassen.
Zertifikatsvertrauensfehler Root-CA fehlt im Vertrauensspeicher des Client-Geräts. Stellen Sie die Root-CA vor Phase 3 (Parallelbetrieb) über MDM/GPO bereit.
VLAN-Zuweisungsfehler Herstellerspezifische Attribute (VSAs) sind in der Cloud-Richtlinie nicht korrekt zugeordnet. Replizieren Sie in Phase 1 die genauen VSA-Stringformate aus NPS in der Cloud-RADIUS-Richtlinien-Engine.
WAN-Ausfall-Auswirkungen Verlust der Internetverbindung verhindert den Zugriff auf Cloud-RADIUS. Richten Sie redundante WAN-Verbindungen ein oder implementieren Sie einen lokalen RADIUS-Proxy, der Anmeldedaten für bekannte Geräte zwischenspeichert.

ROI und geschäftliche Auswirkungen

Die Migration zu RADIUS-as-a-Service liefert messbare Geschäftsergebnisse:

  • Kostensenkung: Macht Hardwarebeschaffung, Windows Server-Lizenzierung und die für Patching und Wartung aufgewendeten Engineering-Stunden überflüssig. Typische OpEx-Reduzierungen liegen bei 60 - 80 %.
  • Zuverlässigkeits-SLAs: Cloud-Anbieter bieten finanziell abgesicherte SLAs mit 99,99 % Verfügbarkeit, verglichen mit den typischen 97 - 98 % Verfügbarkeit einer NPS-Bereitstellung an einem einzelnen Standort.
  • Agilität: Schalten Sie neue Standorte sofort online, ohne lokale Authentifizierungshardware bereitzustellen, was die Bereitstellungszeiten für Transportknotenpunkte und Gesundheitsorganisationen verkürzt.

Hören Sie sich an, wie unser Senior-Consultant-Team die strategischen Auswirkungen in diesem 10-minütigen Briefing diskutiert:

Schlüsseldefinitionen

RADIUS (Remote Authentication Dial-In User Service)

Ein Netzwerkprotokoll, das eine zentrale Verwaltung von Authentifizierung, Autorisierung und Accounting (AAA) für Benutzer bietet, die sich mit einem Netzwerkdienst verbinden und diesen nutzen.

Das Kernprotokoll, das von Unternehmens-WiFi-Netzwerken verwendet wird, um Benutzeranmeldedaten zu validieren, bevor der Netzwerkzugriff gewährt wird.

NPS (Network Policy Server)

Microsofts Implementierung eines RADIUS-Servers und -Proxys, gebündelt als Rolle in Windows Server.

Die veraltete On-Premises-Infrastruktur, von der Unternehmen aktiv wegmigrieren, um den Wartungsaufwand zu reduzieren.

NAS (Network Access Server)

Das Gerät, das als Gateway zum Netzwerk fungiert und Authentifizierungsanfragen an den RADIUS-Server weiterleitet.

In einem Wireless-Kontext ist der NAS in der Regel der WiFi Access Point oder Wireless LAN Controller.

RadSec (RADIUS over TLS)

Ein in RFC 6614 definiertes Protokoll, das RADIUS-Pakete über eine mit TLS verschlüsselte TCP-Verbindung transportiert.

Unerlässlich für Cloud-RADIUS-Bereitstellungen, um sicherzustellen, dass Anmeldedaten bei der Übertragung über das öffentliche Internet verschlüsselt sind.

EAP (Extensible Authentication Protocol)

Ein Authentifizierungs-Framework, das häufig in drahtlosen Netzwerken und Point-to-Point-Verbindungen verwendet wird.

Bestimmt, wie Client und Server Anmeldedaten sicher austauschen (z. B. Zertifikate über EAP-TLS oder Passwörter über PEAP).

VSA (Vendor-Specific Attribute)

Benutzerdefinierte Attribute, die von Hardwareherstellern innerhalb des RADIUS-Protokolls definiert werden, um proprietäre Funktionen zu unterstützen.

Entscheidend bei der Migration; VSAs werden häufig verwendet, um authentifizierten Benutzern dynamisch bestimmte Netzwerk-VLANs zuzuweisen.

LDAPS (Lightweight Directory Access Protocol over SSL)

Ein sicheres Protokoll zur Abfrage und Änderung von Verzeichnisdiensten wie Active Directory.

Wird von Cloud-RADIUS-Diensten verwendet, um On-Premises-Identitätsverzeichnisse sicher abzufragen, ohne das Benutzerverzeichnis in die Cloud migrieren zu müssen.

802.1X

Ein IEEE-Standard für die portbasierte Netzwerkzugriffskontrolle (PNAC).

Der zugrunde liegende Standard, der RADIUS nutzt, um sicherzustellen, dass nur authentifizierte Geräte Datenverkehr an das Unternehmens-LAN oder -WLAN übermitteln können.

Ausgearbeitete Beispiele

Eine Hotelgruppe mit 200 Standorten betreibt derzeit an jedem Standort lokale NPS-Server für die 802.1X-Authentifizierung der Mitarbeiter. Sie migriert zu Entra ID (Azure AD) und möchte die lokalen Server stilllegen. Wie sollte sie bei der Migration vorgehen?

  1. Bereitstellen eines Cloud-RADIUS-Dienstes, der sich nativ über SAML/SCIM in Entra ID integriert.
  2. Konfigurieren der Cloud-RADIUS-Richtlinien, um Entra ID-Gruppen (z. B. "Front Desk", "Management") bestimmten VLAN-VSAs zuzuordnen.
  3. An einem Pilotstandort die Access Points so konfigurieren, dass sie RadSec verwenden, um eine Verbindung zum Cloud-RADIUS-Endpunkt herzustellen.
  4. Verteilen der Root-CA des Cloud-RADIUS-Servers auf alle Mitarbeitergeräte über Microsoft Intune.
  5. Durchführung einer parallelen Authentifizierung am Pilotstandort, gefolgt von einer schrittweisen Einführung an den verbleibenden 199 Standorten.
Kommentar des Prüfers: Dieser Ansatz entfernt 200 physische oder virtuelle Server aus der Infrastruktur, was die Angriffsfläche und den Wartungsaufwand drastisch reduziert. Die direkte Integration in Entra ID macht komplexe Site-to-Site-VPNs zurück zu einem zentralen Active Directory überflüssig.

Ein Stadion mit einer Kapazität von 50.000 Zuschauern verzeichnet bei Großveranstaltungen Authentifizierungsfehler in der Unternehmens-SSID, da der lokale NPS-Server den Durchsatz von Tausenden von Geräten, die gleichzeitig das Roaming nutzen, nicht bewältigen kann.

  1. Überprüfung der bestehenden NPS-Richtlinien und EAP-Methoden.
  2. Bereitstellung eines Cloud-RADIUS-Dienstes, der in der Lage ist, sich automatisch zu skalieren, um hohe Authentifizierungsraten pro Sekunde (APS) zu bewältigen.
  3. Einrichtung einer LDAPS-Verbindung vom Cloud-RADIUS-Dienst zum lokalen Active Directory des Stadions.
  4. Aktualisierung der High-Density Wireless LAN Controller des Stadions, sodass diese auf die Cloud-RADIUS-Endpunkte als primäre Authentifizierungsserver verweisen.
Kommentar des Prüfers: Durch die Auslagerung der RADIUS-Verarbeitung in ein Cloud-Cluster nutzt das Stadion elastische Computing-Ressourcen, die bei Veranstaltungsbeginn dynamisch skalieren. Dadurch wird der Engpass behoben, ohne dass der Betreiber teure lokale Hardware überdimensionieren muss.

Übungsfragen

Q1. Ihre Organisation migriert zu Cloud RADIUS. Das Sicherheitsteam schreibt vor, dass kein Authentifizierungsverkehr im Klartext oder unter Verwendung veralteter Hashing-Algorithmen wie MD5 über das Internet übertragen werden darf. Welches Protokoll müssen Sie auf Ihren Wireless-LAN-Controllern konfigurieren?

Hinweis: Suchen Sie nach dem Protokoll, das RADIUS in einen TLS-Tunnel verpackt.

Musterlösung anzeigen

Sie müssen RadSec (RADIUS über TLS) konfigurieren. RadSec baut einen TLS-Tunnel über TCP-Port 2083 zwischen dem NAS und dem Cloud-RADIUS-Server auf. Dies bietet eine Verschlüsselung auf Transportebene sowie gegenseitige Authentifizierung und erfüllt somit die Anforderungen des Sicherheitsteams.

Q2. Während Phase 3 (Parallelbetrieb) Ihrer Migration stellen Sie fest, dass sich Benutzer erfolgreich am Cloud-RADIUS-Server authentifizieren, aber nicht den korrekten Netzwerksegmenten zugewiesen werden. Was ist die wahrscheinlichste Konfigurationslücke?

Hinweis: Wie teilt ein RADIUS-Server einem Access Point mit, welches Netzwerksegment zu verwenden ist?

Musterlösung anzeigen

Die herstellerspezifischen Attribute (VSAs) für die dynamische VLAN-Zuweisung wurden in den Cloud-RADIUS-Richtlinien nicht korrekt konfiguriert. Sie müssen sicherstellen, dass die genauen VSA-Strings aus dem alten NPS-Server in der Cloud-Umgebung repliziert werden, damit der NAS weiß, welches VLAN dem Benutzer zugewiesen werden soll.

Q3. Ein Client-Gerät scheitert wiederholt bei der EAP-TLS-Authentifizierung am neuen Cloud-RADIUS-Dienst, funktioniert aber am alten NPS-Server einwandfrei. Die Geräte-Logs zeigen den Fehler "Nicht vertrauenswürdiger Server". Wie lösen Sie dieses Problem?

Hinweis: EAP-TLS erfordert, dass der Client der Identität des Servers vertraut.

Musterlösung anzeigen

Das Client-Gerät verfügt nicht über die Root-Zertifizierungsstelle (CA), die das Zertifikat des Cloud-RADIUS-Servers ausgestellt hat, in seinem Speicher für vertrauenswürdige Stammzertifikate. Sie müssen die Root-CA mithilfe einer MDM-Lösung (Mobile Device Management) oder einer Gruppenrichtlinie auf dem Client-Gerät bereitstellen.

Weiterlesen in dieser Reihe

Die Sicherheitsvorteile von RADIUS as a Service für hybride Belegschaften

Dieser technische Leitfaden erklärt, wie RADIUS as a Service den Netzwerkzugriff für hybride Belegschaften an verteilten Standorten sichert. Er behandelt die Architektur, die Sicherheitsvorteile und die Bereitstellungsschritte für den Ersatz von On-Premises-RADIUS-Infrastrukturen durch einen cloudverwalteten Authentifizierungsdienst. Für IT-Manager und Netzwerkarchitekten in Hotels, Einzelhandelsketten, Stadien und Organisationen des öffentlichen Sektors liefert dieser Leitfaden die notwendigen Argumente, um eine Migration zu Cloud-RADIUS in diesem Quartal zu bewerten und umzusetzen.

Leitfaden lesen →

Integration von RADIUS as a Service mit Cloud-Verzeichnissen (Azure AD & Google Workspace)

Dieser technische Referenzleitfaden beschreibt detailliert, wie Sie RADIUS as a Service mit Cloud-Verzeichnissen – Microsoft Entra ID und Google Workspace – für die WiFi-Authentifizierung in Unternehmen integrieren. Er behandelt den architektonischen Wechsel von On-Premises-NPS zu Cloud-nativem RADIUS, die Bereitstellung der zertifikatsbasierten EAP-TLS-Authentifizierung sowie die bewährten Betriebsmethoden zur Absicherung des drahtlosen Zugangs in den Bereichen Gastgewerbe, Einzelhandel und im öffentlichen Sektor. Für IT-Manager und Netzwerkarchitekten, die bereits in Cloud-Identitäten investieren, schließt dieser Leitfaden die Lücke zwischen Verzeichnisverwaltung und physischer Netzwerksicherheit.

Leitfaden lesen →

So implementieren Sie die 802.1X-Authentifizierung mit Cloud RADIUS

Dieser technische Leitfaden bietet einen umfassenden Rahmen für die Implementierung der 802.1X-Authentifizierung mit Cloud RADIUS in verteilten Unternehmensstandorten. Er beschreibt detailliert die Architektur, die Auswahl der EAP-Methode, die Bereitstellungsreihenfolge und die Strategien zur Risikominderung, die zur Sicherung des Netzwerkzugriffs erforderlich sind, während gleichzeitig der betriebliche Aufwand für eine On-Premises-Infrastruktur entfällt.

Leitfaden lesen →